Thuis-Externe trap-Verkeersanalyseprogramma's. Netwerkanalysatoren

Verkeersanalyseprogramma's. Netwerkanalysatoren

Nog maar vier jaar geleden was supersnel internet uitsluitend het voorrecht van inwoners van grote steden, terwijl er in de periferie vaak niet eens inferieur ADSL bestond. Tegenwoordig verandert de situatie, maar niet zo snel als we zouden willen. Daarom is de goede oude nog steeds een van de meest noodzakelijke programma's op de computer van elke gebruiker.

Het enige probleem is dat het aantal van dergelijke toepassingen de afgelopen jaren vele malen is toegenomen, dus kies er een uit beste optie het kan heel, heel moeilijk zijn. Hoe kan dit? Ons artikel is gewijd aan dit probleem.

Laten we beginnen met een algemeen erkende (volgens Runet) applicatie. Het heet Downloadmaster. Deze verscheen lang geleden en boeide gebruikers vanaf de eerste dagen met zijn functionaliteit en uitstekende snelheid bij het downloaden van bestanden. Verschillend klein formaat installatiepakket, volledige russificatie en een handig “zwevend venster”, dat de downloadsnelheid in de vorm van een grafiek weergeeft. Alles lijkt geweldig, maar...

Maar het probleem is dat bij iedereen nieuwe versie Er verschijnen steeds meer advertentiediensten in de applicatie, die de functionaliteit op geen enkele manier verbeteren, maar het verkeer behoorlijk goed verbruiken, de gebruiker irriteren en vaak antivirusprogramma's verstoren. Dit is de reden waarom sommige gebruikers kiezen voor de downloadmanager Orbit Downloader. Het is volledig gratis, qua reclame belast het de gebruiker praktisch niet, beperkt het zich tot kleine tekstnotities en heeft het een goede downloadsnelheid.

Maar deze honing was niet zonder een behoorlijk deel van de teer. Om te beginnen, laatste update het programma werd in mei van dit jaar uitgebracht, terwijl van de hierboven beschreven concurrent bijna elke week nieuwe versies verschijnen. Bovendien is er informatie dat deze parttime downloadmanager in de schijnwerpers staat als DDoS-aanvalsmeester, en daarom de laatste tijd Veel antivirussen zijn er niet erg positief over.

Wat te doen in zo’n delicate situatie? Er is een oplossing! Het heet Internet Download Manager, dat tegenwoordig snel een enorm leger trouwe fans wint. Dit gebeurde omdat het een uitstekende downloadsnelheid biedt, video's van online bioscopen kan "vangen" en je in staat stelt bepaalde categorieën bestanden te bekijken zelfs voordat het downloadproces is voltooid. Bovendien bevat deze downloadmanager (Windows 7 ondersteunt het perfect) er geen

Maar deze toepassing heeft ook zijn nadelen. Het gaat over over het betaalde karakter ervan, en tegen een prijs van bijna 1400 roebel. Niet alle binnenlandse gebruikers die traditioneel gewend zijn aan vrije software zullen met een dergelijke aankoop instemmen.

Dus, wat kan ik tot slot zeggen? Welke van de bovenstaande moet je kiezen? Opgemerkt moet worden dat veel hier uitsluitend afhangt van uw smaak en houding ten opzichte van de reclame die in veel gratis producten is opgenomen. Als u niet wilt betalen en de status van adware heel goed kunt accepteren, dan is Download Master een uitstekende downloadmanager (voor besturingssystemen van de Windows-familie).

Downloadmanagers zijn een van de meest populaire softwarecategorieën voor thuisgebruikers, naast browsers en bestandsbeheerder. Programma's, demoversies van games, patches, enorme hoeveelheden informatie in bestandsopslag - het is moeilijk voor te stellen hoe we ze van internet zouden downloaden zonder de hulp van deze handige hulpprogramma's. Vooral als hun indrukwekkende functionaliteit volledig gratis wordt aangeboden.

Nieuwe richtingen voor de ontwikkeling van downloadmanagers

Op het eerste gezicht is het toevoegen van iets nieuws aan het gebruikelijke arsenaal aan downloadmanagerfuncties behoorlijk problematisch: gedurende een lange periode van hun ontwikkeling hebben ze al alles verworven wat ze nodig hebben, en de afgelopen paar jaar is er een soort stagnatie opgetreden in de markt voor deze software. Het is niet verwonderlijk dat de ontwikkeling van veel veteranen zoals Go!Zilla of GetRight praktisch tot stilstand is gekomen.

Maar de vooruitgang staat niet stil, en de afgelopen tijd zijn er veel nieuwe taken verschenen voor downloadmanagers: online videodiensten waarvan je je favoriete clip niet rechtstreeks kunt downloaden, of bestandshostingservices die de ondersteuning voor downloadmanagers opzettelijk alleen aan VIP-clients overlaten. Gelukkig omzeilden de meeste ontwikkelaars van dergelijke software snel de beperkingen van dergelijke diensten, tot grote vreugde van een dankbaar publiek. Sommige vakmensen zijn nog verder gegaan en hebben BitTorrent- en eDonkey-clients aan hun creaties toegevoegd. Aan de ene kant is het een geweldig idee - in plaats van meerdere programma's zullen we er nu immers maar één moeten gebruiken, maar als we dit probleem globaler bekijken en niet alleen rekening houden met het feit van beschikbaarheid, maar ook met functionaliteit, wordt duidelijk dat dit weinig zin heeft.

Download Master 5.5.3.1131

Download Master 5.5.3.1131

Gratis

Ontwikkelaar WestByte

Maat 4,9 MB

Uitspraak

Uitstekende functionaliteit; ondersteuning voor videohosting en bestandsopslag

Extreem lastige standaardinterface-instellingen

Het Oekraïense programma doorbreekt met succes twee verstarde stereotypen: dat vrije software noodzakelijkerwijs slechter moet zijn dan commerciële software en dat downloadmanagers alleen geschikt zijn voor het downloaden van bestanden via HTTP/FTP. Download Master is meer dan alleen een “downloadmanager”; we hebben een universele agent voor het downloaden van gegevens van internet voor alle gelegenheden. Nu hoef je niet meer te worstelen met verschillende software voor het opslaan van clips van YouTube en andere videodiensten - voeg gewoon een URL toe zoals youtube.com/watch?v=, en het programma zelf zal een directe link genereren, het bestand downloaden en als je wilt, speel je het meteen af ​​in de ingebouwde FLV-speler. De FTP-client, de flexibele aanpassing van de snelheid van de internetverbinding, een krachtige planner die eindelijk de functionaliteit van zijn broer van ReGet heeft ingehaald, en vele andere bonussen verdienen ook warme woorden. Het is waar dat het beperken van de snelheid voor elke download, zoals ReGet kan doen, nog steeds slechts een droom is, maar gezien het enthousiasme van de ontwikkelaars die ons regelmatig verrassen met programma-updates, is de kans groot dat we deze functie in de volgende versies van DM zullen zien.

Maar wat vooral prettig is, is de uitstekende interactie van het hulpprogramma met talloze sites voor het hosten van bestanden, waar 90% van alle informatie in de HTTP-sector van internet wordt opgeslagen. Het is geen geheim dat het grootste deel van de bestandsopslag in gratis modus ondersteunen geen downloadmanagers, waardoor we bestanden uitsluitend via de browser moeten downloaden. In de meeste gevallen slaagt DM erin om gegenereerde URL's te 'vangen', zelfs van het beroemde Rapidshare, en als je een premium-account hebt, kan het hulpprogramma volledig naadloos worden geïntegreerd met vergelijkbare services.

Download Master heeft echter nog steeds enkele nadelen: uiterst lastige standaardinterface-instellingen. Het programma overspoelt ons letterlijk met banners, pop-upvensters en ander klatergoud, en dit alles staat ons alleen maar in de weg. Gelukkig krijgt de gebruiker, na slechts een paar minuten te hebben besteed aan het "afstemmen" van het hulpprogramma, een verrassend comfortabel en intuïtief product tot zijn beschikking, dat terecht de onderscheiding krijgt "Keuze van de redactie".

FlashGet 1.96

FlashGet 1.96

Gratis

Maat 4,43MB

Uitspraak

Een universele “combinatie” van downloadmanager, BitTorrent en eMule-client

Gebrek aan significante updates gedurende meerdere jaren

Een geëerde veteraan onder de downloadmanagers: FlashGet wordt nog steeds door veel gebruikers hoog gewaardeerd, hoewel het ons steeds minder bevalt met echt wereldwijde updates. Vanaf versie 1.72 lieten de makers van FlashGet het programma volledig vrij zweven, waardoor het de freeware-status kreeg tot grote vreugde van de fans en ondersteuning werd toegevoegd voor de eMule- en BitTorrent-protocollen. Laatste stap Het is voor ontwikkelaars vrij moeilijk om te begrijpen - hoe dan ook, de functionaliteit van zo'n "combinatie" in vergelijking met dezelfde µTorrent en eMule Plus laat veel te wensen over, en het programma alleen opblazen omwille van een "vinkje" is gewoon niet serieus . Bovendien blijft de functionaliteit van de manager zelf nog steeds op het niveau van 2004 - FlashGet heeft niet eens de mogelijkheid om de bestandsgrootte op te vragen vóór het downloaden, om nog maar te zwijgen van het gedeeltelijk downloaden van Zip-archieven of ondersteuning voor videodiensten. Natuurlijk beschikt FlashGet over de basisfuncties van software van deze klasse, zoals downloaden via meerdere threads, flexibele aanpassing van de verbindingsbandbreedte en een eenvoudige planner. Maar dit is duidelijk niet genoeg om het programma de titel van beste in zijn categorie te laten claimen, en het werk van FlashGet met veel populaire bestandshostingdiensten is ook verre van ideaal. In totaal hebben we een goed complex van een downloadmanager en een p2p-client voor ons, die redelijk geschikt is voor een niet veeleisende gebruiker, maar er zijn ook betere hulpprogramma's in deze categorie.

Gratis downloadmanager 2.5

Gratis downloadmanager 2.5

Gratis

Ontwikkelaar Gratis download Manager.ORG

Maat 5,62MB

Uitspraak

Indrukwekkende functionaliteit; gebruiksvriendelijke interface

De planner heeft verbetering nodig

Ongelooflijk, maar waar - onder zo'n onopvallende naam schuilt een uiterst krachtig en functioneel hulpprogramma, dat in veel opzichten zelfs de geroemde Download Master heeft overtroffen. De gebruiker heeft ondersteuning voor populaire bestandsopslag, een ingebouwde torrent-client en HTML-spider, een speciale uploadmanager voor het direct uploaden van bestanden naar WikiFortio-hosting (tot 100 MB) - wat wil je nog meer? Het bijna perfecte werk van FDM met talloze videodiensten verdient een speciaal compliment: voeg gewoon de URL van de pagina met de clip toe, het hulpprogramma doet de rest zelf. Als het FLV-formaat (waarin video's op YouTube en soortgelijke diensten worden gecodeerd) u niet bevalt, kunt u met FDM het converteren naar een meer toegankelijke AVI of WMV met behulp van de ingebouwde videotranscoder. De ontwikkelaars hebben ook uitstekend werk verricht op het gebied van de interface: intuïtief, eenvoudig en niet overladen met onnodige vensters, het doet op geen enkele manier onder voor zijn "afgestemde" broer van DM. Het plaatje wordt compleet gemaakt door een ingebouwde zoekmachine voor "mirrors", gedeeltelijk downloaden van Zip-archieven, handig beheer van gedownloade bestanden en zelfs een draagbare versie voor liefhebbers die eraan gewend zijn alles mee te nemen op een flashdrive. Misschien is het enige (en zelfs onbeduidende) minpunt van het hulpprogramma dat het niet de beste planner is, ernstig inferieur aan zijn tegenhangers van DM en ReGet, maar het was juist deze nuance waardoor het niet de lauweren van een leider kon opeisen. In alle andere opzichten is het een geweldig alternatief voor Download Master!

Baandownloader 2.6.1

Baandownloader 2.6.1

Gratis

Ontwikkelaar OrbitDownloader.com

Maat 2,03 MB

Uitspraak

Het beste van bestaande nutsvoorzieningen voor het werken met bestandsopslag en videodiensten

Een FTP-client zou leuk zijn; zwakke planner

Ondanks het bescheiden verschijning, dit is een van de krachtigste downloadmanagers. De ontwikkelaars zelf noemen hun geesteskind een downloader voor sociale media, alsof ze de nadruk leggen op de naleving van de geest van Web 2.0 en talloze WWW-diensten die onder zijn auspiciën zijn gelanceerd - MySpace, YouTube, Google Video, enz. Orbit Downloader doet het niet slechter met het traditionele segment van het netwerk - een geavanceerd zoekalgoritme voor “mirrors” gebaseerd op p2p-technologieën, uitstekend werk met Rapidshare en bijna vijftig andere soortgelijke hostingsites, ondersteuning voor het streamen van video en audio (MMS- en RTSP-protocollen), integratie met populaire browsers, enz. De makers zijn vooral trots op het minimale systeemvereisten programma's - slechts 3 MB verbruikt RAM en 3% CPU-belasting tijdens het downloaden is een uitstekende indicator. Wat de tekortkomingen betreft, heeft Orbit Downloader er vrijwel geen, afgezien van de eenvoudige interface die hierboven al is genoemd, die in veel opzichten doet denken aan de klassieke FlashGet, hoewel dit eerder een pluspunt dan een minpunt is. En natuurlijk zou ik na de ideale DM en FDM ook graag een krachtige planner, een FTP-client en een aantal extra functies voor het werken met video - aangezien concurrenten ze hebben, waarom verschijnen ze dan niet in Orbit? Totaal - welverdiende 4 punten en een uitstekende keuze voor energiezuinige pc's, waarbij elke megabyte geheugen en megahertz processor telt.

ReGet Deluxe 5.2 Persoonlijk

ReGet Deluxe 5.2 Persoonlijk

Gratis

Ontwikkelaar ReGet-software

Maat 2,75MB

Uitspraak

Krachtige en handige downloadmanager

Kan geen video's downloaden van YouTube en vergelijkbare services

De grootste verrassing in het kamp van downloadmanagers in 2007 was de officiële overgang van een van de beroemdste programma's in deze categorie naar de freeware-status voor thuisgebruik. En hoewel er niet zoveel innovaties zijn in versie 5.2 (de interface is enigszins verbeterd, de meest vervelende fouten die tot de "crash" van het programma hebben geleid, zijn verholpen), is dit voldoende voor de zegevierende terugkeer van de voormalige koning van de markt. ReGet doet nog steeds uitstekend werk bij het downloaden van bestanden, zelfs van de meest problematische webhostingsites, ondersteunt alle bekende protocollen (HTTP/HTTPS/FTP/MMS/RTSP) en biedt vrijwel onbeperkte mogelijkheden voor het aanpassen van de parameters van elke download. Het hoogtepunt van het programma wordt terecht beschouwd als een krachtige planner, die qua functionaliteit niet onderdoet voor individuele commerciële hulpprogramma's, en de FTP-client en FTP-zoekmachine onderscheiden ReGet van andere concurrenten. Natuurlijk is ReGet Deluxe nog steeds verre van ideaal - met name individuele interface-elementen (bijvoorbeeld het direct schakelen tussen het aantal secties en individuele downloadinstellingen) moeten verder worden verfijnd en ondersteuning voor het nieuwerwetse downloaden van flash-video's van YouTube en andere videohostingsites zouden absoluut niet overbodig zijn. Aan de andere kant werkt ReGet Deluxe 5.2 perfect met Rapidshare, gaat spaarzaam om met systeembronnen en heeft qua algehele functionaliteit nog steeds een leidende positie onder andere downloadmanagers. Een slimme keuze voor de pragmatische gebruiker.

Andere gratis downloadmanagers

Een van de eersten gratis nutsvoorzieningen in zijn categorie verrast Fresh Download tegenwoordig niet langer met functionaliteit of interface. Er is geen ondersteuning voor bestandsopslag of YouTube, en het nogal domme systeem om elke taak in een nieuw venster te openen draagt ​​​​niet bij aan het werkcomfort. Als u echter niet geïnteresseerd bent in Web 2.0-trends, is Fresh Download wellicht de moeite van het bekijken waard.

Accelerator Manager 3.1 downloaden

Nog een kandidaat voor de titel van fulltime downloadmanager, maar met een traditioneel zwakke planner. Bovendien heeft de gratis versie van het hulpprogramma een aantal onaangename beperkingen die niet het beste effect hebben op het gemak om ermee te werken. Gelukkig waren er geen problemen met videodiensten, en dit rehabiliteert het programma gedeeltelijk. DAM vereist dat .NET Framework 1.1 functioneert.

Origineel: 8 beste pakketsniffers en netwerkanalysatoren
Auteur: Jon Watson
Datum van publicatie: 22 november 2017
Vertaling: A. Krivoshey
Overdrachtsdatum: december 2017

Packet sniffing is een informele term die verwijst naar de kunst van het analyseren van netwerkverkeer. In tegenstelling tot wat vaak wordt gedacht, zijn dingen zoals e-mails en webpagina's reizen niet in één stuk over het internet. Ze worden opgedeeld in duizenden kleine datapakketjes en zo via internet verzonden. In dit artikel zullen we kijken naar de beste gratis netwerkanalysatoren en pakketsniffers.

Er zijn veel hulpprogramma's die netwerkverkeer verzamelen, en de meeste daarvan gebruiken pcap (op Unix-achtige systemen) of libcap (op Windows) als kern. Een ander type hulpprogramma helpt bij het analyseren van deze gegevens, omdat zelfs een kleine hoeveelheid verkeer duizenden pakketten kan genereren die moeilijk te navigeren zijn. Bijna al deze hulpprogramma's verschillen weinig van elkaar bij het verzamelen van gegevens; de belangrijkste verschillen liggen in de manier waarop ze de gegevens analyseren.

Voor het analyseren van netwerkverkeer is inzicht nodig in hoe het netwerk werkt. Er bestaat geen tool die op magische wijze de kennis van een analist over netwerkfundamenten kan vervangen, zoals de TCP "3-way handshake" die wordt gebruikt om een ​​verbinding tussen twee apparaten tot stand te brengen. Analisten moeten ook enig inzicht hebben in de soorten netwerkverkeer op een normaal functionerend netwerk, zoals ARP en DHCP. Deze kennis is belangrijk omdat analysetools u eenvoudig laten zien wat u van hen vraagt. Het is aan jou om te beslissen wat je vraagt. Als u niet weet hoe uw netwerk er doorgaans uitziet, kan het moeilijk zijn om te weten of u in de grote hoeveelheid pakketten die u heeft verzameld, heeft gevonden wat u nodig heeft.

De beste pakketsniffers en netwerkanalysatoren

Industrieel gereedschap

Laten we bovenaan beginnen en dan naar de basis toe werken. Als je te maken hebt met een netwerk op ondernemingsniveau, heb je een groot wapen nodig. Hoewel bijna alles in de kern tcpdump gebruikt (daarover later meer), kunnen tools op bedrijfsniveau bepaalde complexe problemen oplossen, zoals het correleren van verkeer van meerdere servers, het bieden van intelligente queries om problemen te identificeren, het waarschuwen voor uitzonderingen en het maken van goede grafieken, die is wat bazen altijd eisen.

Tools op bedrijfsniveau zijn doorgaans gericht op het streamen van netwerkverkeer in plaats van op het evalueren van de inhoud van pakketten. Hiermee bedoel ik dat de belangrijkste focus van de meeste systeembeheerders in de onderneming is ervoor te zorgen dat het netwerk geen prestatieknelpunten heeft. Wanneer dergelijke knelpunten optreden, is het doel meestal om vast te stellen of het probleem wordt veroorzaakt door het netwerk of door een applicatie op het netwerk. Aan de andere kant kunnen deze tools doorgaans zoveel verkeer verwerken dat ze kunnen helpen voorspellen wanneer een netwerksegment volledig geladen zal zijn, een cruciaal beheerpunt. doorvoer netwerken.

Dit is een zeer grote set IT-beheertools. In dit artikel wordt het hulpprogramma Deep Packet Inspection and Analysis besproken integraal onderdeel. Het verzamelen van netwerkverkeer is vrij eenvoudig. Met tools als WireShark is basisanalyse ook geen probleem. Maar de situatie is niet altijd helemaal duidelijk. Op een zeer druk netwerk kan het moeilijk zijn om zelfs heel eenvoudige zaken vast te stellen, zoals:

Welke toepassing op het netwerk genereert dit verkeer?
- als een applicatie bekend is (bijvoorbeeld een webbrowser), waar brengen de gebruikers dan het grootste deel van hun tijd door?
- welke verbindingen zijn het langst en belasten het netwerk?

De meeste netwerkapparaten gebruiken de metagegevens van elk pakket om ervoor te zorgen dat het pakket terechtkomt waar het heen moet. De inhoud van het pakket is onbekend bij het netwerkapparaat. Een ander ding is deep packet inspection; dit betekent dat de daadwerkelijke inhoud van het pakket wordt gecontroleerd. Op deze manier kunt u kritische netwerkinformatie ontdekken die niet uit metadata kan worden gehaald. Tools zoals die van SolarWinds kunnen betekenisvollere gegevens opleveren dan alleen de verkeersstroom.

Andere technologieën voor het beheer van data-intensieve netwerken zijn onder meer NetFlow en sFlow. Ieder heeft zijn eigen sterke en zwakke punten,

U kunt meer leren over NetFlow en sFlow.

Netwerkanalyse in het algemeen is een geavanceerd onderwerp dat gebaseerd is op zowel verworven kennis als praktische werkervaring. Je kunt iemand trainen om gedetailleerde kennis van netwerkpakketten te hebben, maar tenzij die persoon kennis heeft van het netwerk zelf en ervaring heeft met het identificeren van afwijkingen, zal hij niet erg goed presteren. De tools die in dit artikel worden beschreven, moeten worden gebruikt door ervaren netwerkbeheerders die weten wat ze willen, maar niet zeker weten welk hulpprogramma het beste is. Ze kunnen ook door minder ervaren systeembeheerders worden gebruikt om dagelijkse netwerkervaring op te doen.

Basisprincipes

Het belangrijkste hulpmiddel voor het verzamelen van netwerkverkeer is

Het is een open source-applicatie die op vrijwel alle Unix-achtige besturingssystemen kan worden geïnstalleerd. Tcpdump is een uitstekend hulpprogramma voor gegevensverzameling met zeer complexe taal filtratie. Het is belangrijk om te weten hoe u gegevens moet filteren bij het verzamelen ervan, zodat u een normale set gegevens voor analyse krijgt. Het vastleggen van alle gegevens van een netwerkapparaat, zelfs op een redelijk druk netwerk, kan te veel gegevens opleveren die erg moeilijk te analyseren zijn.

In sommige zeldzame gevallen is het voldoende om de door tcpdump vastgelegde gegevens rechtstreeks op het scherm af te drukken om te vinden wat u nodig heeft. Terwijl ik dit artikel schreef, verzamelde ik bijvoorbeeld verkeer en merkte dat mijn machine verkeer naar een IP-adres stuurde dat ik niet kende. Het blijkt dat mijn machine gegevens naar het Google IP-adres 172.217.11.142 stuurde. Omdat ik geen Google-producten had en Gmail niet open was, wist ik niet waarom dit gebeurde. Ik heb mijn systeem gecontroleerd en het volgende gevonden:

[ ~ ]$ ps -ef | grep Google-gebruiker 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Het blijkt dat zelfs als Chrome niet actief is, het als een service blijft draaien. Zonder pakketanalyse zou ik dit niet hebben opgemerkt. Ik heb nog een paar datapakketten vastgelegd, maar deze keer gaf ik tcpdump de taak om de gegevens naar een bestand te schrijven, dat ik vervolgens in Wireshark opende (hierover later meer). Dit zijn de inzendingen:

Tcpdump is een favoriet hulpmiddel van systeembeheerders omdat het een opdrachtregelprogramma is. Voor het uitvoeren van tcpdump is geen GUI vereist. Voor productieservers is de grafische interface nogal schadelijk, omdat deze systeembronnen verbruikt, dus opdrachtregelprogramma's verdienen de voorkeur. Zoals veel moderne hulpprogramma's heeft tcpdump een zeer rijke en complexe taal die enige tijd kost om onder de knie te krijgen. Een paar zeer eenvoudige opdrachten omvatten het selecteren van een netwerkinterface om gegevens van te verzamelen en het schrijven van die gegevens naar een bestand, zodat deze kunnen worden geëxporteerd voor analyse elders. Hiervoor worden de schakelaars -i en -w gebruikt.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: luisteren op eth0, linktype EN10MB (Ethernet), opnamegrootte 262144 bytes ^C51 vastgelegde pakketten

Met deze opdracht wordt een bestand gemaakt met de vastgelegde gegevens:

Bestand tcpdump_packets tcpdump_packets: tcpdump capture-bestand (little-endian) - versie 2.4 (Ethernet, capture-lengte 262144)

De standaard voor dergelijke bestanden is het pcap-formaat. Het is geen tekst, dus het kan alleen worden geanalyseerd met programma's die dit formaat begrijpen.

3. Winddump

De meeste bruikbare open source-hulpprogramma's worden uiteindelijk in andere gekloond besturingssystemen. Wanneer dit gebeurt, wordt gezegd dat de applicatie is gemigreerd. Windump is een port van tcpdump en gedraagt ​​zich op een vergelijkbare manier.

Het belangrijkste verschil tussen Windump en tcpdump is dat Windump de Winpcap-bibliotheek moet installeren voordat Windump kan worden uitgevoerd. Hoewel Windump en Winpcap door dezelfde beheerder worden geleverd, moeten ze afzonderlijk worden gedownload.

Winpcap is een bibliotheek die vooraf moet worden geïnstalleerd. Maar Windump is een exe-bestand dat niet hoeft te worden geïnstalleerd, dus u kunt het gewoon uitvoeren. Dit is iets om in gedachten te houden als u een Windows-netwerk gebruikt. U hoeft Windump niet op elke machine te installeren, u kunt het gewoon kopiëren als dat nodig is, maar u hebt Winpcap nodig om Windup te ondersteunen.

Net als bij tcpdump kan Windump netwerkgegevens weergeven voor analyse, op dezelfde manier filteren en de gegevens ook naar een pcap-bestand schrijven voor latere analyse.

4. Draadshark

Wireshark is het op één na bekendste hulpmiddel in de gereedschapskist van een systeembeheerder. Hiermee kunt u niet alleen gegevens vastleggen, maar ook enkele geavanceerde analysehulpmiddelen bieden. Bovendien is Wireshark open source en geschikt voor vrijwel alle bestaande serverbesturingssystemen. Wireshark heet Etheral en draait nu overal, ook als een zelfstandige, draagbare applicatie.

Als u verkeer op een server met een GUI analyseert, kan Wireshark alles voor u doen. Het kan gegevens verzamelen en deze daar vervolgens analyseren. GUI's zijn echter zeldzaam op servers, dus u kunt netwerkgegevens op afstand verzamelen en vervolgens het resulterende pcap-bestand in Wireshark op uw computer bekijken.

Wanneer u Wireshark voor het eerst start, kunt u een bestaand pcap-bestand laden of een verkeersregistratie uitvoeren. In het laatste geval kunt u bovendien filters instellen om de hoeveelheid verzamelde gegevens te verminderen. Als u geen filter opgeeft, verzamelt Wireshark eenvoudig alle netwerkgegevens van de geselecteerde interface.

Een van de handigste functies van Wireshark is de mogelijkheid om een ​​stream te volgen. Je kunt een draad het beste als een ketting beschouwen. In de onderstaande schermafbeelding kunnen we veel vastgelegde gegevens zien, maar waar ik het meest in geïnteresseerd was, was het IP-adres van Google. Ik kan met de rechtermuisknop klikken en de TCP-stream volgen om de hele keten te zien.

Als het verkeer op een andere computer is vastgelegd, kunt u het PCAP-bestand importeren met behulp van het Wireshark-bestand -> Openen-dialoogvenster. Voor geïmporteerde bestanden zijn dezelfde filters en tools beschikbaar als voor vastgelegde netwerkgegevens.

5.tshaai

Tshark is een zeer nuttige link tussen tcpdump en Wireshark. Tcpdump is superieur in het verzamelen van gegevens en kan operatief alleen de gegevens extraheren die u nodig heeft, maar de mogelijkheden voor gegevensanalyse zijn zeer beperkt. Wireshark is geweldig in zowel vastleggen als analyseren, maar heeft een zware gebruikersinterface en kan niet worden gebruikt op servers zonder GUI. Probeer tshark, het werkt op de opdrachtregel.

Tshark gebruikt dezelfde filterregels als Wireshark, wat niet verrassend hoeft te zijn, aangezien ze in wezen hetzelfde product zijn. De onderstaande opdracht vertelt tshark alleen om het bestemmings-IP-adres vast te leggen, evenals enkele andere interessegebieden uit het HTTP-gedeelte van het pakket.

# tshark -i eth0 -Y http.request -T velden -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico

Als u verkeer naar een bestand wilt schrijven, gebruikt u hiervoor de optie -W en vervolgens de schakelaar -r (lezen) om het te lezen.

Eerste opname:

# tshark -i eth0 -w tshark_packets Vastleggen op "eth0" 102 ^C

Lees het hier, of verplaats het naar een andere plaats voor analyse.

# tshark -r tshark_packets -Y http.request -T velden -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reserveringen/ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) 00101 Firefox/ 57 .0 / reserveringen/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) 00101 Firefox/57.0 / res/images/title.png

Dit is een zeer interessante tool die meer in de categorie van forensische netwerkanalysetools valt dan alleen maar sniffers. Het forensisch onderzoek houdt zich doorgaans bezig met onderzoeken en het verzamelen van bewijsmateriaal, en Network Miner doet dit werk prima. Net zoals wireshark een TCP-stream kan volgen om een ​​volledige pakkettransmissieketen te reconstrueren, kan Network Miner een stream volgen om bestanden te herstellen die via een netwerk zijn overgedragen.

Network Miner kan strategisch op het netwerk worden geplaatst om verkeer dat u interesseert in realtime te kunnen observeren en verzamelen. Het zal geen eigen verkeer op het netwerk genereren en zal dus heimelijk opereren.

Network Miner kan ook offline werken. U kunt tcpdump gebruiken om pakketten op een netwerkpunt te verzamelen en vervolgens de PCAP-bestanden in Network Miner te importeren. Vervolgens kunt u proberen alle bestanden of certificaten in het opgenomen bestand te herstellen.

Network Miner is gemaakt voor Windows, maar kan met Mono worden uitgevoerd op elk besturingssysteem dat het Mono-platform ondersteunt, zoals Linux en MacOS.

Er is een gratis versie instapniveau, maar met een behoorlijke set functies. Als u extra functies nodig heeft, zoals geolocatie en aangepaste scripts, moet u een professionele licentie aanschaffen.

7. Fiddler (HTTP)

Het is technisch gezien geen hulpprogramma voor het vastleggen van netwerkpakketten, maar het is zo ongelooflijk nuttig dat het op deze lijst staat. In tegenstelling tot de andere hier genoemde tools, die zijn ontworpen om netwerkverkeer van welke bron dan ook vast te leggen, is Fiddler meer een debugging-tool. Het vangt HTTP-verkeer op. Hoewel veel browsers deze mogelijkheid al in hun ontwikkelaarstools hebben, beperkt Fiddler zich niet tot browserverkeer. Fiddler kan elk HTTP-verkeer op een computer vastleggen, inclusief niet-webapplicaties.

Veel desktopapplicaties gebruiken HTTP om verbinding te maken met webservices, en behalve Fiddler is de enige manier om dergelijk verkeer vast te leggen voor analyse het gebruik van tools als tcpdump of Wireshark. Ze werken echter op pakketniveau, dus analyse vereist het reconstrueren van deze pakketten in HTTP-streams. Het kan veel werk zijn om eenvoudig onderzoek te doen, en dat is waar Fiddler in beeld komt. Fiddler helpt u bij het detecteren van cookies, certificaten en andere nuttige gegevens die door applicaties worden verzonden.

Fiddler is gratis en kan, net als Network Miner, in Mono op vrijwel elk besturingssysteem worden uitgevoerd.

8. Kapsa

De Capsa netwerkanalysator heeft verschillende edities, elk met verschillende mogelijkheden. Op het eerste niveau is Capsa gratis, en je kunt er in wezen eenvoudig pakketten mee vastleggen en er een grafische basisanalyse op uitvoeren. Het dashboard is uniek en kan een onervaren systeembeheerder helpen netwerkproblemen snel te identificeren. De gratis laag is bedoeld voor mensen die meer willen leren over pakketten en hun analysevaardigheden willen vergroten.

Met de gratis versie kunt u meer dan 300 protocollen beheren, geschikt voor monitoring e-mail Naast het opslaan van e-mailinhoud ondersteunt het ook triggers die kunnen worden gebruikt om waarschuwingen te activeren wanneer bepaalde situaties. In dit opzicht kan Capsa tot op zekere hoogte als ondersteunend hulpmiddel worden gebruikt.

Capsa is alleen beschikbaar voor Windows 2008/Vista/7/8 en 10.

Conclusie

Het is gemakkelijk te begrijpen hoe een systeembeheerder met behulp van de tools die we hebben beschreven een netwerkbewakingsinfrastructuur kan creëren. Tcpdump of Windump kunnen op alle servers worden geïnstalleerd. Een planner, zoals cron of de Windows-planner, start op het juiste moment een pakketverzamelingssessie en schrijft de verzamelde gegevens naar een pcap-bestand. De systeembeheerder kan deze pakketten vervolgens naar de centrale machine overbrengen en met Wireshark analyseren. Als het netwerk hiervoor te groot is, zijn er enterprise-grade tools zoals SolarWinds beschikbaar om alle netwerkpakketten om te zetten in een beheersbare dataset.

Lees andere artikelen over het onderscheppen en analyseren van netwerkverkeer :

  • Dan Nanni, opdrachtregelhulpprogramma's voor het monitoren van netwerkverkeer op Linux
  • Paul Cobbaut, Linux-systeembeheer. Netwerkverkeer onderscheppen
  • Paul Ferrill, 5 tools voor netwerkmonitoring op Linux
  • Pankaj Tanwar, Pakketopname met behulp van de libpcap-bibliotheek
  • Riccardo Capecchi, filters gebruiken in Wireshark
  • Nathan Willis, netwerkanalyse met Wireshark
  • Prashant Phatak,
Gerelateerde publicaties: